![]()
배경auth.log, wtmp 로그를 주로 분석하는 문제다. 이름처럼 bruteforce 시나리오를 다루게 된다.auth.log와 wtmp 파일 그리고 wtmp 파일을 파싱해주는 utmp.py가 주어져 있다.(wtmp 파일은 binary data기 때문에 눈으로 확인하려면 파싱이 필요하다.) auth.log?auth.log는 Linux에서 인증 및 권한 관련 이벤트를 기록해주는 로그 파일이다.지금까지는 단순 로그인 기록만 나와 있는 로그인 줄 알았지만, 이번 문제를 통해 sudo, su 같은 권한 관련 행위와 사용자 생성, 그룹 추가와 같은 행위들도 나와 있다는 것을 깨달았다.이 로그 파일을 분석하면 로그인 시도와 성공 여부, 세션 ID, Timestamp 등을 얻을 수 있기 때문에 bruteforce ..
![]()
Challenge Information Enumeration & Attack PlanningNetwork┌──(root㉿kali)-[~/Desktop/htb/Support]└─# nmap -sV 10.10.11.174PORT STATE SERVICE VERSION53/tcp open domain Simple DNS Plus88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2024-10-07 01:04:47Z)135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-..
![]()
Challenge Information Enumeration & Attack PlanningNetwork┌──(root㉿kali)-[~/Desktop/htb]└─# nmap -sV 10.10.10.98Starting Nmap 7.94 ( https://nmap.org ) at 2023-11-08 06:05 ESTStats: 0:02:40 elapsed; 0 hosts completed (1 up), 1 undergoing Service ScanService scan Timing: About 66.67% done; ETC: 06:09 (0:01:14 remaining)Nmap scan report for 10.10.10.98Host is up (0.23s latency).Not shown: 997 filt..
![]()
Challenge Information Enumeration & Attack PlanningNetwork┌──(root㉿kali)-[~/Desktop/htb]└─# nmap -sV 10.10.10.175Starting Nmap 7.94 ( https://nmap.org ) at 2023-11-22 23:41 ESTNmap scan report for 10.10.10.175Host is up (0.23s latency).Not shown: 988 filtered tcp ports (no-response)PORT STATE SERVICE VERSION53/tcp open domain Simple DNS Plus80/tcp open http Micro..
![]()
Challenge Information Enumeration & Attack PlanningNetwork──(root㉿kali)-[~/Desktop/htb]└─# nmap -sV 10.10.10.100Starting Nmap 7.94 ( https://nmap.org ) at 2024-07-02 01:12 EDTStats: 0:00:26 elapsed; 0 hosts completed (1 up), 1 undergoing Service ScanService scan Timing: About 52.94% done; ETC: 01:13 (0:00:14 remaining)Nmap scan report for 10.10.10.100Host is up (0.24s latency).Not shown: 983 cl..
![]()
Challenge Information Enumeration & Attack PlanningNetwork┌──(root㉿kali)-[~/Desktop/htb/Forest]└─# nmap -sV 10.10.10.161Starting Nmap 7.94 ( https://nmap.org ) at 2023-11-02 00:26 EDTNmap scan report for 10.10.10.161Host is up (0.22s latency).Not shown: 989 closed tcp ports (reset)PORT STATE SERVICE VERSION53/tcp open domain Simple DNS Plus88/tcp open kerberos-sec Microsoft ..
![]()
HackCTF의 RTC 문제다. 문제 명처럼 return to csu 기법을 사용해야한다. 덕분에 rtc 공격을 복습할 수 있는 좋은 경험이 됐다. 문제 파일로는 바이너리 파일과 libc가 주어진다. 바이너리를 실행해보면 "Hey, ROP! What's Up?"이라는 ROP에게 안부를 물어보는 문구가 출력되고 그 다음 줄에 입력을 받는다. 보호기법을 확인해보면 NX bit만 걸려있는 것을 볼 수 있다. full relro가 아니라 partial이기 때문에 got overwrite 기법도 사용 가능할 것이다. 일단 ida로 열어보겠다. 코드는 굉장히 간단하다. write 함수로 문구를 출력해준 뒤 read 함수로 0x200byte만큼 입력을 받는다. 딱봐도 overflow가 발생한다. 쉘을 얻게해주는 함수..
![]()
HackCTF의 Look at me 문제다. 문제를 푼 뒤 다른 사람의 write up들을 확인했을 때, 내 풀이와 차이가 많이 나서 당황했다. (나는 sysrop로 풀었지만 다른 사람들은 mprotect 함수를 이용해 쉘 코드가 존재하는 주소에 실행 권한을 준 뒤, 해당 주소로 ret를 변조해 풀었다.) 문제 파일로는 바이너리 하나만 주어져 있다. 바이너리 파일을 실행해보면 "Hellooo..."가 첫 줄에 출력되고 두 번째 줄에서 사용자 입력을 받음을 알 수 있다. 보호기법은 nx bit만 걸려 있는 것을 알 수 있다. 또한 32bit 바이너리인 것을 알 수 있다. ida로 바이너리를 열어보면 함수가 엄청 많이 존재하는 것을 볼 수 있다. 이는 이 바이너리가 static linking 방식으로 컴파일..
![]()
HackCTF의 암호학 문제 Great Binary다. 머리 좀 식힐겸 한 번 풀어봤다. 문제 파일의 압축을 풀어보면 hoooo.txt 파일이 나온다. 이 txt 파일 안의 내용을 해독한다면 flag를 얻을 수 있을 것 같다. 이미지 안에는 딱봐도 2진수처럼 보이는 값들이 들어있다. 낮은 점수의 문제라는 점과 솔버(solver)수가 많은 것을 고려했을 때, 그냥 2진수를 10진수로 변환한 뒤 해당 10진수 값에 해당하는 아스키 문자를 구한다면 flag가 나오지 않을까 생각이 든다. with open('./hoooo.txt', 'r') as f: array = f.read().split(' ') for i in array: print(chr(int(i,2)), end='') print() 위와 같은 코드를..
![]()
이번에 풀이할 문제는 HackCTF의 SysROP문제다. 이름처럼 Syscall을 활용한 ROP 공격을 수행해야될 것 같다. 문제 파일로는 binary와 libc 파일이 주어져 있다. 바이너리 파일을 실행해보면 사용자의 입력만 받고 종료되는 것을 볼 수 있다. 보호기법은 NX bit만 걸려있다. main함수를 ida로 확인해보면 read 함수로 0x78byte만큼 buf에 입력을 받는데, 이 과정에서 overflow가 발생하는 것을 알 수 있다. nx bit가 걸려있기 때문에 rop 공격을 하는 식으로 가야겠지만, 문제는 출력해주는 함수가 없다. system 함수를 통해 쉘을 얻든, 원샷 가젯을 쓰든 libc base를 구해야지 가능한 것인데 leak를 위한 출력함수가 없기에 현재의 내 지식으로는 일반적..
